Cyber Resilience Act: EU einigt sich auf Regeln für vernetzte Produkte
Mit dem Cyber Resilience Act der Europäischen Kommission wird in Kürze das umfassendste Gesetz zur Regelung der Produkt-Cyber-Sicherheit in Europa in Kraft treten. Jüngst wurden nun einige Änderungen beschlossen, die den Geltungsbereich des Gesetzes konkretisieren. Die formelle Verabschiedung wird in Fachkreisen als sicher angenommen.
“Die Konkretisierung des CRA ist aus unserer sicherheitsanalytischen Sicht sehr zu begrüßen, besonders das für Endverbraucher noch weiter ausgedehnte Sicherheitsniveau. Die Geräteklassen wurden neu erfasst: So wurden in Artikel 6 zwei zusätzliche Cybersicherheitsrisikoklassen für kritische Hard- und Softwareprodukte eingeführt, deren Kernfunktionen in Anhang III der Verordnung aufgelistet sind. Eine Geräteklasse umfasst besonders kritische Anlagen und Geräte. Auch sämtliche Smart Home-Geräte und interaktives Spielzeug sind jetzt explizit enthalten. In unseren Tests konnten wir feststellen, dass solche Geräte oft wesentliche Sicherheitslücken aufweisen, die einfach durch eine automatische Analyse zu wesentlichen Teilen identifiziert und somit schneller behoben werden könnten. Möglicherweise noch nachgeschärft werden sollte der Bereich Industrieprodukte und Router, der aus dem vorigen Entwurf nicht in die aktuelle Version übernommen wurde”, sagt Jan Wendenburg, CEO von Onekey.
Cyber Resilience Act: Kürzere Fristen erfordern schnelle Reaktion der Hersteller
Für viele Hersteller sind die von der EU eingeräumten 36 Monate Übergangsfrist schon heute knapp – die Entwicklung neuer Produkte und Software benötigt in der Regel Jahre – daher müssen alle Hersteller unverzüglich mit der Umsetzung beginnen. Eine automatische Analyseplattform wie beispielsweise von Onekey ermittelt in Minuten Schwachstellen und Compliance-Verstöße und spart so für Hersteller von vernetzten Geräten viel Zeit und Kosten bei der Entwicklung. Für die Meldung von aufgefundenen Sicherheitslücken werden die Fristen im letzten CRA-Entwurf verkürzt: “Neue Sicherheitslücken müssen innerhalb von 24 Stunden an die nationalen Aufsichtsbehörden und die Europäische Behörde für Netz- und Informationssicherheit ENISA gemeldet werden. Für Unternehmen, die Geräte mit Internet- oder Netzwerkzugang herstellen oder in Verkehr bringen, wird damit das rechtzeitige Risikomanagement und die gründliche Analyse der eigenen Produkte noch wichtiger, um mögliche gravierende Zero-Day-Lücken schon lange vor dem finalen Inkrafttreten des CRA zu identifizieren und zu schließen”, so Jan Wendenburg von Onekey weiter. Ein wesentlicher Bestandteil ist dabei die Software-Stückliste – die SBOM (Software Bill of Materials) – die laut EU und Behörden wie dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) eine zentrale Rolle in der zukünftigen Sicherheitsarchitektur einnehmen wird.
SBOM per Mausklick
Auch die Frage der Haftung für Open Source Software wurde neu geregelt: In den bisherigen Entwürfen des CRA wurde die Einhaltungspflicht den Erstellern der Software auferlegt. Die aktuelle Fassung nimmt jedoch Open-Source-Organisationen sowie natürliche Personen als Mitwirkende an Open-Source-Projekten explizit von der Haftung aus. “Damit liegt die Verantwortung für die Einhaltung der EU-Vorgaben allein bei den Unternehmen, die den Open-Source-Code kommerziell nutzen oder als Teil ihrer Produkte in Verkehr bringen.
